Entrega do AsyncRAT em Campanhas de Ameaças com Temática de IA

"gráfico TB %% Seção de Definições de Classe classDef action fill:#99ccff classDef tool fill:#cccccc classDef malware fill:#ff9999 classDef process fill:#ccffcc classDef technique fill:#ffff99 %% Definições de Nós %% Estágio Inicial action_user_exec["<b>Ação</b> – <b>T1204.002 Execução pelo Usuário: Arquivo Malicioso</b><br/>Usuário abre um arquivo compactado contendo<br/>um atalho .lnk malicioso disfarçado como um guia de IA."] class action_user_exec action action_obfuscation["<b>Ação</b> – <b>T1027 Arquivos ou Informações Ofuscadas</b><br/>O arquivo .lnk usa cmd.exe para executar uma<br/>sequência de comandos ofuscados para extrair dados<br/>de um arquivo PDF oculto chamado 3th.pdf."] class action_obfuscation technique %% Execução em Etapas action_ps_decryption["<b>Ação</b> – <b>T1027.013 Arquivos ou Informações Ofuscadas: Arquivo Criptografado/Codificado</b><br/>Um script PowerShell realiza descriptografia AES-CBC<br/>e decodificação Base64 para revelar uma carga útil<br/>salva como Cache_{GUID}.ps1."] class action_ps_decryption technique %% Persistência e Evasão action_persistence["<b>Ação</b> – <b>T1547 Persistência</b><br/>O script cria uma tarefa agendada chamada<br/>CheckRealtekAudioVersion para garantir a persistência."] class action_persistence technique action_exclusion["<b>Ação</b> – <b>T1679 Exclusão Seletiva</b><br/>O malware usa Add-MpPreference para adicionar<br/>o drive C e powershell.exe à lista de exclusão do Microsoft Defender."] class action_exclusion technique %% Proxy e Scripts action_cmd_shell["<b>Ação</b> – <b>T1059.003 Interprete de Comandos e Scripts: Shell de Comando do Windows</b><br/>Utiliza Shell de Comando do Windows para execução."] class action_cmd_shell technique action_syncappv["<b>Ação</b> – <b>T1216.002 Execução de Proxy de Script do Sistema: SyncAppvPublishingServer</b><br/>Usa um arquivo VBS ResetRealtekAudioSettings64.vbs<br/>para atuar como mediador no lançamento de arquivos em lote."] class action_syncappv technique %% Estágio AutoHotkey tool_autohotkey["<b/>Ferramenta: AutoHotkey.exe<br/>Binário benigno utilizado para executar scripts maliciosos<br/>.ahk para lógica complexa."] class tool_autohotkey tool action_ahk_interpreter["<b/>Ação – <b>T1059.010 Interprete de Comandos e Scripts: AutoHotKey & AutoIT</b><br/>Os scripts .ahk gerenciam a injeção de processos<br/>e a orquestração."] class action_ahk_interpreter technique %% Injeção e Carga Útil action_hollowing["<b/>Ação – <b>T1055.012 Injeção de Processo: Hollowing de Processo</b><br/>Reconstrói uma carga útil PE a partir de dados de texto<br/>e a injeta em processos legítimos .NET."] class action_hollowing technique process_dotnet["<b/>Processo: Processo .NET<br/>Processo legítimo alvo, como<br/>AddInProcess32.exe para injeção."] class process_dotnet process malware_asyncrat["<b/>Malware: AsyncRAT<br/>Um Trojan modular de Acesso Remoto .NET<br/>implantado como carga útil final."] class malware_asyncrat malware action_exfiltration["<b/>Ação – <b>T1048 Exfiltração por Protocolo Alternativo</b><br/>Exfiltra informações do sistema e realiza<br/>vigilância através de domínios C2 como shampobiskworld.nl."] class action_exfiltration technique %% Conexões %% Cadeia inicial action_user_exec –>|leva a| action_obfuscation action_obfuscation –>|aciona| action_ps_decryption %% Cadeia de Persistência e Evasão action_ps_decryption –>|estabelece| action_persistence action_ps_decryption –>|executa| action_exclusion %% Cadeia de Scripting e Proxy action_ps_decryption –>|aproveita| action_cmd_shell action_cmd_shell –>|usa| action_syncappv %% Cadeia AutoHotkey action_syncappv –>|executa| tool_autohotkey tool_autohotkey –>|usa| action_ahk_interpreter %% Cadeia de Injeção action_ahk_interpreter –>|executa| action_hollowing action_hollowing –>|injeta em| process_dotnet %% Cadeia de Carga Útil Final process_dotnet –>|hospeda| malware_asyncrat malware_asyncrat –>|executa| action_exfiltration "

Fluxo de Ataque